Security Center:コアファイルの監視機能を使用する

制限事項

• この機能は、セキュリティセンターの Enterprise エディションと Ultimate エディションでのみサポートされています。 セキュリティセンターの購入とアップグレード方法の詳細については、「セキュリティセンターを購入する」および「セキュリティセンターをアップグレードおよびスペックダウンする」をご参照ください。

• この機能は、セキュリティセンター エージェントがオンラインになっているサーバーでのみサポートされています。 アイコンは、エージェントがオンラインであることを示します。サーバーのオペレーティングシステムとカーネルバージョンは、AliWebGuard ファイルでサポートされている必要があります。詳細については、「AliWebGuard ファイルでサポートされているオペレーティングシステムとカーネルバージョン」をご参照ください。

手順 1：ルールの作成

ルールの検証ロジック

コアファイルの監視機能を動作させるには、サーバーファイルの監視範囲を指定するルールを作成する必要があります。ルールを作成する前に、ルールの検証ロジックを理解することをお勧めします。

• サーバー上のファイルへのアクセスの監視中に、セキュリティセンターは、リクエストが指定したルール内の次のすべての項目と一致する場合にのみ、アラートを生成するか、リクエストを許可します。

  • プロセス パス

  • ファイル パス

  • ファイル操作

• セキュリティセンターは、[処理方法] パラメーターが [リリース] に設定されているルールに対して優先的にリクエストを照合します。このタイプのルールは、許可ルールと呼ばれます。リクエストが許可ルールと一致しない場合、セキュリティセンターは、[処理方法] パラメーターが [アラート] に設定されているルールに対してリクエストを照合します。このタイプのルールは、アラートルールと呼ばれます。

構成の推奨事項と例

コアシステムファイルと重要な構成ファイルの監視ルールを構成することをお勧めします。ルールの構成基準と例の詳細については、「コアファイルの監視機能を構成するためのベストプラクティス」をご参照ください。

ルールを作成する前に、監視するファイルと、ファイルへのアクセスを許可するプロセスの範囲を決定する必要があります。

コアビジネスファイルの場合は、すべてのプロセスに対してアラートルールを構成し、許可されたプロセスに対して複数の許可ルールを構成する必要があります。これにより、ファイルに対するすべてのアクセス操作が監視され、不要なアラートが生成されないようにすることができます。

たとえば、監視するコアファイルのパスが /etc/sysctl.conf で、許可されたプロセスが systemd であるとします。ファイルパス /etc/sysctl.conf を監視するには、2 つのルールを構成する必要があります。

• ルール 1：[処理方法] パラメーターを [アラート] に設定し、[プロセス パス] パラメーターをアスタリスク (*) に設定し、[ファイル パス] パラメーターを /etc/sysctl.conf に設定し、[ファイル操作] パラメーターのすべてのオプションを選択します。アスタリスク (*) はすべてのプロセスを指定します。

• ルール 2：[処理方法] パラメーターを [リリース] に設定し、[プロセス パス] パラメーターを /usr/lib/systemd/systemd に設定し、[ファイル パス] パラメーターを /etc/sysctl.conf に設定し、[ファイル操作] パラメーターのすべてのオプションを選択します。

複数のサーバー上のコアファイルを監視する場合は、アラートルールのすべてのサーバー上のファイルパスを指定し、[プロセス パス] パラメーターをアスタリスク (*) に設定できます。次に、異なるサーバーで許可する異なるプロセス パスに対して、複数の許可ルールを構成します。

手順

1. セキュリティセンター コンソールにログオンします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。次のリージョンがサポートされています：中国 と 全世界 (中国を除く)。

2. 左側のナビゲーションウィンドウで、保護設定 > ホスト保護 > コアファイルの監視 を選択します。

3. Security Center Advanced 以前のエディションを使用している場合は、今すぐ購入 をクリックして、Security Center Enterprise または Ultimate を購入します。

4. コアファイルの監視 ページで、モニタリングルール タブをクリックし、ホワイトリストルール作成 をクリックします。

5. ホワイトリストルール作成 パネルで、パラメーターを構成し、OK をクリックします。

   パラメーター	説明
   ルール名	ルールの名前を入力します。
   処理の方法	ルールにヒットしたときにセキュリティセンターが実行する操作を選択します。有効な値： アラート：セキュリティセンターはアラートを生成し、イベントを記録します。 許可：セキュリティセンターはリクエストを許可します。セキュリティセンターはアラートを生成したり、イベントを記録したりしません。
   アラートレベル	このパラメーターは、[処理方法] パラメーターを アラート に設定した場合にのみ必須です。 ルールにヒットしたときに生成されるアラートの重大度を選択します。
   OSタイプ	監視対象サーバーのオペレーティングシステムタイプを選択します。
   ルールのステータス	ルールが作成された後にルールを有効にするかどうかを指定します。最大 100 個のルールを有効にできます。
   Process Path	監視するプロセスのパスを入力します。 構成手順 単一のプロセスを監視するには、正確なプロセス パスを指定します。たとえば、パスを /usr/bin/bash として構成すると、/usr/bin/bash プロセスが監視されます。 特定のディレクトリ内のすべてのプロセスを監視するには、ワイルドカードを使用します。たとえば、パスを /etc/* として構成すると、/etc ディレクトリ以下のすべてのプロセスが監視されます。 説明 プロセス パスを /etc/ として構成すると、プロセス パス /etc/ のみが監視され、このディレクトリ以下のすべてのプロセスは監視されません。 構成の制限 単一のプロセス パスの長さは 1 ～ 128 文字の英数字でなければなりません。複数のプロセス パスは別々の行に入力する必要があり、最大 20 個のプロセス パスをサポートしています。
   ファイルパス	監視するファイルのパスを入力します。 構成手順 単一のファイルを監視するには、正確なファイル パスを指定します。たとえば、パスを /etc/passwd として構成すると、/etc/passwd ファイルが監視されます。 特定のディレクトリ内のすべてのファイルを監視するには、ワイルドカードを使用します。たとえば、パスを /etc/* として構成すると、/etc ディレクトリ以下のすべてのファイルが監視されます。 説明 ファイル パスを /etc/ として構成すると、特定のファイル /etc/ のみが監視され、このディレクトリ以下のすべてのファイルは監視されません。 構成の制限 単一のファイル パスの長さは 1 ～ 128 文字の英数字でなければなりません。複数のファイル パスは別々の行に入力する必要があり、最大 20 個のファイル パスをサポートしています。
   ファイル操作	監視するファイル操作を選択します。 説明 権限変更 オプションは Windows システムではサポートされていません。
   ルール適用範囲	ルールを適用するサーバーを選択します。

ルールを作成した後にルールを変更、削除、有効化、または無効化する場合は、ルールの [ステータス] 列または [操作] 列のエントリポイントを見つけることをお勧めします。サーバーに対してルールを初めて有効にする場合、ルールが有効になるまでに最大 5 分かかります。ルールを変更した場合、ルールが有効になるまでに最大 1 分かかります。ルールが有効になった後、既存のアラートと記録されたイベントは影響を受けません。

手順 2：アラートの表示と処理

1. コアファイルの監視 ページで、アラートイベント タブをクリックします。セキュリティセンターによってファイルアクセスで生成されたアラートを表示できます。

2. 表示するアラートを見つけ、[操作] 列の 詳細 をクリックして、ファイルアクセスの詳細を表示します。

   説明

   • Python スクリプトを使用してファイルにアクセスした場合、セキュリティセンターは詳細な CLI 情報を取得できません。

   • シェル組み込みコマンドを使用してファイルにアクセスした場合、セキュリティセンターは詳細な CLI 情報を取得できません。たとえば、コマンドが echo "new content" >> /etc/nginx/nginx.conf の場合、アラート詳細ページに収集された CLI 情報として ["-bash"] が表示されます。これは、コマンドが nginx.conf ファイルにコンテンツを追加するシェル組み込みコマンドであるためです。

   • セキュリティセンターは、シェル解析後に CLI 情報を収集し、収集された CLI 情報をアラート詳細ページに JSON 配列で表示します。表示されるコマンドは、ユーザーが指定した元のコマンドとは異なる場合があります。

     • 例 1：ユーザー指定のコマンドは mkdir "1 2" で、mkdir 1\ 2 コマンドと同等です。どちらのコマンドも 1 2 という名前のディレクトリを作成します。シェル解析後、ユーザー指定のコマンドは mkdir と 1 2 になり、アラート詳細ページの表示結果は ["mkdir", "1 2"] になります。

     • 例 2：ユーザー指定のコマンドは rm -rf * です。シェル解析後、* は、指定されたディレクトリ内のすべてのファイルとサブディレクトリに置き換えられます。この例では、セキュリティセンターは次の CLI 情報を収集して表示します。rm、-rf、および現在のディレクトリ内のすべてのファイルとサブディレクトリのリスト。

3. ファイルアクセスの詳細に基づいて、異常なイベントが記録されているかどうかを確認します。

   フォローアップソリューションは、チェック結果によって異なります。

   • 異常なイベントが記録されている場合は、ビジネスへの影響を確認した後、関連するプロセスを手動でブロックし、関連するファイルを隔離することをお勧めします。

   • イベントが通常のファイルアクセスを記録している場合は、アラートをホワイトリストに追加して処理できます。

   • イベントがファイルに影響を与えないと考えられ、アラートをホワイトリストに追加する必要がない場合は、アラートを無視できます。

4. アラートを調べて処理した後、アラートを見つけ、[操作] 列の 処理 をクリックします。次に、処理方法を選択し、OK をクリックします。

   • ホワイトリスト：アラートをホワイトリストに追加すると、セキュリティセンターは、アラートによって検出された動作を許可するホワイトlistrールを自動的に生成します。このオプションを選択した場合は、[ホワイトlistrール名]、[プロセス パス]、[ファイル パス]、[ファイル操作]、および [ルールの範囲] パラメーターを構成する必要があります。次に、OK をクリックします。

   • 無視：アラートを無視すると、アラートのステータスは [無視] に変わります。後で同じアラートが検出されると、セキュリティセンターは新しいアラートを生成します。

   • 手動で処理：異常なイベントを処理した場合は、このオプションを選択できます。

FAQ

Web改ざん防止とコアファイルの監視の違いは何ですか？

Web改ざん防止は、セキュリティセンターがファイルを保護するために提供する別の機能です。Web改ざん防止とコアファイルの監視は、次の項目で異なります。

Web改ざん防止とコアファイルの監視の両方を有効にした場合、どちらの機能が優先的に有効になりますか？どの機能が優先的に有効になりますか?

サーバーで Web 改ざん防止とコアファイルの監視の両方が有効になっている場合、Web 改ざん防止が優先的に有効になります。セキュリティセンターがリクエストを Web 改ざん防止のルールと照合できない場合、セキュリティセンターはリクエストをコアファイルの監視のルールと照合します。Web 改ざん防止のプロセスホワイトlistrールは、Web 改ざん防止機能が動作している場合にのみ有効になります。コアファイルの監視の許可ルールは、コアファイルの監視機能が動作している場合にのみ有効になります。